Предупреждения о фальшивой инфекции могут быть реальными проблемами

Майкл Вана знал, что что-то случилось, когда он увидел всплывающее окно с «Antivirus 2009» в середине экрана. Бывший технический специалист Avionics Northwest Airlines предположил, что страшное предупреждение о системной инфекции было поддельным, но когда он нажал на X, чтобы закрыть окно, он расширился, чтобы заполнить его экран. Чтобы избавиться от него, ему пришлось закрыть свой компьютер.

Звучит знакомо? Грязные трюки, подобные этим, предназначенные для того, чтобы вы могли установить и покупать поддельные антивирусные продукты, чаще встречаются, чем когда-либо. (Для получения информации о том, как действовать, если вы установили фальшивый антивирус на свой компьютер, см. «Антивирус 2009: как удалить Fake AV Software».) Но, хотя вы можете распознавать такие предупреждения как фиктивные, вы, возможно, не знаете, что подделка предупреждение может быть красным предупреждением о заражении вредоносных программ. Знание разницы является ключевым.

«Это уже не то, о чем вы даже моргнете», - говорит Кристофер Бойд (Christopher Boyd), старший директор исследования вредоносных программ для коммуникационной компании FaceTime Communications, о запросах на помощь в борьбе с этими всплывающими всплывающими предупреждениями.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Увеличение числа этих всплывающих окон связано с тем, что больше жуликов идет за легкими деньгами из теневых партнерских программ, которые платят огромную прибыль - до 90 процентов - для каждого человека, который ошибочно ломает деньги за фальшивую программу, независимо от того, что их заставляло платить. Часто побуждение исходит от вредоносного веб-сайта, который использует трюки JavaScript, чтобы бросить кучу всплывающих окон или даже изменить размер окна браузера зрителя, чтобы создать что-то похожее на реальное антивирусное сканирование.

Вы можете достичь таких сайт, используя плохую поисковую ссылку, например, тот, что Boyd нажал на бесплатную онлайн-игру Batman. Он был перенаправлен на сайт, который взял на себя его браузер, чтобы отобразить поддельное AV-сканирование, которое затем обнаружило (фиктивные) критические инфекции, которые можно было устранить, купив антивирусную программу-изгоев.

Если сайт просто захватывает ваш браузер, вы не «Не стоит слишком беспокоиться: всплывающие окна или поддельные окна сканера не наносят серьезного ущерба, - говорит Бойд. Вам может быть запрещено закрывать окно, как это сделал Майкл Вана, но вы обычно можете открыть Диспетчер задач Windows с помощью Ctrl-Alt-Delete и закрыть браузер таким образом. Иногда просто нажатие Alt-F4 будет закрыто.

«Для этого [поддельный сайт] использует реальный код и обычно не использует дыру», - говорит Бойд.

Fake Antivirus на основе Bot

К сожалению, другой способ, которым вы могли бы противостоять поддельной антивирусной программе, намного хуже.

Джо Стюарт, директор по исследованиям вредоносных программ с SecureWorks, компанией служб безопасности для бизнеса, отслеживает вредоносное ПО для жизни. Преступники используют зараженные ботом компьютеры, которые иногда собираются в огромные сети (называемые ботнетами) из ста тысяч или более систем, чтобы отправлять спам по всему миру. Но они также используют ботов для загрузки антивирусных программ и других вредоносных программ на компьютер жертвы.

«Это проверенный способ монетизации ботнета», - говорит Стюарт. «Почти любой, у кого есть уже развернутый ботнет, потенциально рассматривает это как способ заработать дополнительные деньги».

По словам Стюарта, мошенники делают эти деньги либо за счет того, что кто-то может загрузить предполагаемую пробную версию мошенника AV- -ко-opting законный метод продажи программного обеспечения - или путем установки этого программного обеспечения за кадром с помощью бота.

После установки, изгои обычно используют очень отягчающие методы, такие как изменение фона рабочего стола Windows, чтобы предупредить предположительная инфекция и отображение постоянных других предупреждений, чтобы заставить вас купить полную версию программного обеспечения.

Возможно, вы знаете, что не загружать rogue AV в ответ на ложное всплывающее окно браузера. Но когда вам будет предложено загрузить его с помощью злонамеренного контроллера, скрытый бот никогда не даст вам возможность применить ваш здравый смысл.

Если вы соблюдаете основные меры предосторожности, например, сохраняя актуальное антивирусное программное обеспечение bona-fide и следя за вложениями и загрузками электронной почты, вы можете значительно уменьшить вероятность заражения ботом или другим вредоносным ПО. Но если вы видите всплывающие окна или другие поддельные предупреждения от мошенника AV на своем компьютере, рекомендуется попытаться определить, находится ли это с сайта или с фактического программного обеспечения, установленного ботом (или кем-то, кто использует ПК).

Возможности Бесконечные

Существует множество вариаций мошенничества с поддельным программным обеспечением, а тактика так называемых мошенников меняется, поэтому нет универсального индикатора, который присутствует. Но следите за предупреждениями, которые сохраняются после перезагрузки вашего ПК, особенно если вы видите их перед тем, как открыть браузер. Увидеть незнакомый значок предупреждения на панели задач - это еще один плохой знак, особенно если вы не можете щелкнуть его правой кнопкой мыши и заставить его уйти. И если ваш фон рабочего стола изменился, вы определенно заражены антивирусом-изгоем, говорит Бойд.

Что касается источника этого мусора, вот подсказка. Один из разновидностей, который Стюарт рассмотрел, а затем назвал «Antivirus XP 2008», сначала проверит конфигурацию системы ПК, чтобы узнать, находится ли она в стране со многими этническими русскими. Он также рассмотрит Internet Explorer для посещения русской версии Google. Если он столкнулся с такими доказательствами, инсталлятор немедленно уйдет, не огорчая потенциальную жертву. По словам Стюарта, это «достаточно, чтобы в значительной степени гарантировать, что русскоязычные пользователи никогда не смогут увидеть установку Antivirus XP 2008». Но пользователям Интернета за пределами бывшего Восточного блока лучше следить.